【JSRC小教室】Web安然专题(一)

百家 作者:京东安然应急照应中间 2020-01-14 18:46 浏览:69 评论:0

【JSRC小教室】Web安然专题(一)-爱尖刀

本期佳宾:3stoneBrother,京东集团攻防与实验室安然工程师,营业蓝军担任人,熟悉Web渗透渗出测试,经久努力于甲方web营业安然偏向进击与进攻研究。


小教室黑板报

Web作为一个公司对外供给办事的出口,假设开辟者的安然认识不强,就会招致Web应用安然成绩层见叠出。黑客常常以Web马脚为出口,进而操作和控制网站,终究达到入侵的目标。JSRC小教室Web安然专题,将以Web安然存在率较高的逻辑马脚为进修切入点,渐渐带情由中级到高等的Web进击手段演示,和马脚发掘案例和经历讲解。迎接酷爱Web安然的小同伴一路交换进修。


互联网公司营业上线前会经过代码审计、白盒测试、黑盒测试等,营业马脚的发掘难度愈来愈高,若何快速有效地发掘更多逻辑马脚呢?

基本知识:认证缺掉和认证缺点马脚

逻辑马脚平日被称为“不安然的对象援用和功能级拜访控制缺掉"。这类马脚的成因主如果开辟人员在对数据停止增、删、改、查时对客户端请求的数据过分信赖而漏掉了权限的剖断。我们以逻辑马脚里比较轻易懂得和研究的认证缺掉和认证缺点马脚为例,停止详细讲解。

认证缺掉和认证缺点马脚重要指功能级拜访控制缺掉,例如随便任性增删改查用户信息。实际营业场景中,能够出现开辟人员安然认识比较脆弱的景象,例如营业上线前没有做认证处理,或许认证处理环节没有成绩,然则没有控制好权限,招致可越权获得高权限用户的敏感信息。

那么若何快速发明认证缺掉马脚和认证缺点马脚,防止敏感信息泄漏呢?基于对象开辟重要由四个环节构成,即域名信息搜集、站点信息爬取、规矩的分析与提取和批量处理成果分析与展示。


Step 1  域名信息搜集

若何停止域名搜集呢?建议可以经过过程以下三种方法:

搜刮引擎:如Google

基于Google hacker技巧,例如:site: xx.com。
  • 长处:主动获得。

  • 缺点:依附于搜刮引擎的爬虫才能,搜刮引擎难于爬去域名下的一切站点信息。


证书透明度
下面是我经常使用的证书透明度检索站点:
https://crt.sh/
https://developers.facebook.com/tools/ct/search/
https://transparencyreport.谷歌.com/https/certificates

【JSRC小教室】Web安然专题(一)-爱尖刀

  • 长处:主动获得。

  • 缺点:通配符Wildcard SSL 证书存在,部分子域名没法获得。例如:

【JSRC小教室】Web安然专题(一)-爱尖刀

子域名爆破

我经常使用的两个子域名爆破的对象是:

https://github.com/lijiejie/subDomainsBrute

https://github.com/OJ/gobuster.git

  • 长处:加倍灵活,可以相对周全获取信息。

  • 缺点:主动扫描,并发量过大年夜能够影响线上营业,且依附于字典的质量。


Step 2 站点信息爬取

域名搜集完成后,就须要停止站点信息爬取。针对静态网页的站点信息爬取,可以经过过程python的requests库。

静态网页的站点信息爬取会相对复杂些,没法经过过程python的requests请求来完成,缘由是存在javascript异步请求加载的接口。这里就要提到PhantomJS,PhantomJS是一个基于Webkit的“无界面”浏览器,它会把网站加载到内存并履行页面上的JavaScript。它不会展示图形界面,所以运转起来比完全的浏览器要高效。

假设我们把Selenium和PhantomJS结合在一路,便可以运转一个异常强大年夜的搜集爬虫,这个爬虫可以处理JavaScrip、Cookie、headers,和任何我们真实用户须要做的任务。

【JSRC小教室】Web安然专题(一)-爱尖刀


Step 3 规矩的分析与提取

规矩的分析和提取详细指:确认能否存在认证缺掉或授权缺点的标准。


若何确认能否存在认证缺掉?

我们从认证层面可以从以下环节停止验证,即同一单点登录、自建体系登录、无需登录和异常页面。

同一单点登录:照应码302,重定向URL:https://sso.*.com/login? ReturnUrl=http://files.*.com。

自建登录体系:照应码302,存在login、password、passwd、登录、注册等字段。

无需登录:照应码200,且照应包数据长度大年夜于必定阈值。

异常页面:收回的链接没稀有据包前往,即逝世链接,不需再做下一步分析。


若何确认能否存在授权缺点?

假设照应前往敏感信息,则能够存在授权缺点,我们可以经过过程正则表达式停止验证。


正则表达式(Regular Expression),又称规矩表达式或惯例表示法,是计算机迷信的一个概念。正则表达式应用单个字符串来描述、婚配一系列符合某个句律例则的字符串。我经常使用的测试正则表达式的对象是https://regex101.com/。我们在上述对象中应用正则表达式,对静态爬取的站点信息停止形式婚配,提取、统计和分析符合规矩列表的数据,根据这些特点肯定能否存在认证缺掉和认证缺点马脚。

部分战略规矩图示:

【JSRC小教室】Web安然专题(一)-爱尖刀

 Step 4 批量处理成果分析与展示


检测完能否存在证缺掉马脚和认证缺点马脚,就到了确认射中率的时辰啦。

认证缺掉的批量射中情况可参考下图:

1.单点登录

2.自建登录体系

3.不消登录

4.异常

【JSRC小教室】Web安然专题(一)-爱尖刀


小同伴们

本期内容你学会了嘛?

迎接留言你的成绩,小教室陪你一路摸索答案。


下期预告:

Web安然专题(二)逻辑马脚的burpsuite插件开辟

QQ开课群464465695
祝贺猫仔、SamnyCaptain0X 
三位小同伴取得本期小教室的荣幸奶酪鼠joy~

【JSRC小教室】Web安然专题(一)-爱尖刀


关于马脚

京东安然相干马脚请提交至

https://security.jd.com/

 存眷JSRC
获得更多“技巧干货”

【JSRC小教室】Web安然专题(一)-爱尖刀


京东安然应急照应中间 京东安然应急照应中间
  • 京东安然应急照应中间(JSRC)官方
存眷搜集尖刀微信公众号
随时控制互联网出色
告白赞助